强客户认证(SCA)代表了欧盟(EU)为确保向所有成员国的金融服务客户提供的安全级别标准化而做出的新努力，从而促进了竞争银行之间的竞争。

该机制是即将发布的欧盟指令的一部分，即第二支付服务指令(PSD2)，将于2019年9月14日生效。该指令将要求在欧洲经济区(EEA)内提供支付服务的企业对超过30欧元的支付部署额外的安全措施。这主要是由于电子转账的多因素认证的变体。

在此日期之后，所有“客户发起”的转账(如单卡支付和银行转账)都将受到SCA保护措施的约束。被认为是由商家发起的支付，如直接支付，将不在本指令的范围内，并将继续像今天一样运行。

目的是通过强制用户使用其他身份验证方法(即个人识别码或生物识别数据)来减少欺诈性支付的数量，客户可以按需生成这些方法。访问其网上银行账户、发送网上支付或参与可能存在欺诈风险的远程渠道的客户将受到SCA的约束。

这些变化也意味着，到本月底，任何没有额外保护层的合格付款都可能被银行拒绝。

银行科技的兴起。

在过去的几年里，英国人已经使用移动设备来访问金融服务和支付。这导致了一个更广泛的趋势，现金使用和借记卡支付的大幅下降在2017年首次超过现金交易。

根据英国零售联盟的数据，去年信用卡支付占所有零售销售额的四分之三以上。现代卡交易已经通过Chip和Pin机制覆盖了SCA的等价物，但这还没有扩展到在线支付。

像Monzo这样的数字银行也有所发展。他们没有任何实体分支机构，但完全在线运作。据估计，英国大约十分之一的人只有数字银行账户，预计到2023年将有四分之一的人口拥有账户。

确保钱的安全。

现金支付意味着很容易证明钱是属于我们的；既然我们把它给了身体。然而，数字支付通过使支付更加抽象，使事情变得复杂，在没有实际交易的情况下，将支付限制在任何一方将更加困难。

不足为奇的是，虽然新的支付方式比传统的支付方式更方便，但它们也导致了欺诈的爆炸性增长。据英国金融公司统计，去年英国发卡损失超过6.71亿英镑，比去年增长19%。

是SCA PSD2的关键部分，旨在应对这一趋势，并大大减少欺诈性支付的数量。该指令本身涵盖了广泛的支付领域，并将极大地改变数字交易的发生方式。值得指出的是，无论英国退出欧盟的结果如何，都有望在英国申请，主要是因为最大的金融机构希望与整个非洲大陆的客户保持一致。

当SCA从9月14日开始实施时，最大的变化是当支付高于30欧元的门槛时需要MFA。第二个验证因素将要求每笔付款使用三种不同类型的验证中的两种。这可能包括一些知识，如个人识别码，以及我们实际上可以访问的东西，如信用卡或手机，甚至生物识别数据，如指纹扫描。

我们不是已经有这个了吗？

目前MFA以3D Secure(3DS)的形式存在，主要用于信用卡交易，但只有在存在明显欺诈风险时才会部署。比如网上购物，可能会打开第二个操作窗口，询问更多细节。由于配置不佳，这在浏览器和移动设备上浏览时经常令人沮丧。修订版允许生物识别(指纹或人脸)，更适合电话用户。

3DS还为卖方提供了选择退出第二验证因子的能力，这使得交易更加顺利，但降低了安全因子，可能会使买方面临风险。

PSD2遵守一套不同的法律法规。30欧元以下的交易不具备SCA的MFA要求，但除此之外，规则规定将对另一种形式的验证有强制性要求。

需要第二个因素的可能性是基于收单银行和发行人的欺诈率。银行经历的欺诈越少，在需要第二个因素之前，它可以花费的就越多。重要的是，企业不再对是否需要用户的MFA有发言权。此外，每五笔低于30欧元门槛的交易将受到质疑，当交易总价值超过100欧元时。

如何保证按SCA付款？

3DS的更新版本称为3D Secure 2(3DS 2)，将于今年推出，以适应有效的SCA。新标准旨在减少MFA可能带来的一些额外摩擦，而不影响必要的安全性。

3DS 2的功能是允许更多的信息从提供商发送到客户的银行。这可能包括特定于付款的详细信息，如送货地址，以及上下文信息，如设备数据、交易历史、服务器信息甚至时区。所有这些细节都提供给客户银行运行的风险评估，作为确定是否需要额外身份验证检查的一部分。

默认情况下，任何使用过MFA的支付流程都遵守SCA指令，例如数字银行或Apple Pay，它们需要生物识别认证。

然而，SCA指令有许多例外。对于依赖定期支付或订阅的服务，只有客户发起的首次支付才需要MFA。

重要的是要记住，持卡人的银行决定是否需要MFA以及SCA豁免是否有效。

这对日常银行业务意味着什么？

p>SCA旨在协调用户保护并减少欺诈 - 这对我们作为消费者和员工既有利，也对银行和商家有利。卖方也可能转向欺诈率较低的银行，以尽量减少对MFA的需求并减少支付摩擦。这可能会使银行更加敏锐地减少欺诈行为，这对整个行业来说也是一个非常好的结果。